Evelyn Stealer Malware Abuses VS Code Extensions to Steal Developer Credentials and Crypto

1 minute de lecture

Mis à jour : January 20, 2026

Campagne de Vol d’Identifiants par le Malware Evelyn Stealer

Une nouvelle menace, Evelyn Stealer, cible les développeurs en exploitant les extensions de Visual Studio Code (VS Code) pour dérober des informations sensibles. Ce malware vise spécifiquement les équipes de développement utilisant VS Code et leurs extensions tierces, ainsi que les systèmes ayant accès à des ressources critiques comme les environnements de production ou le cloud.

L’attaque débute par l’installation d’extensions malveillantes telles que “BigBlack.bitcoin-black”, “BigBlack.codo-ai”, et “BigBlack.mrbigblacktheme”. Ces extensions déploient un téléchargeur malveillant (“Lightshot.dll”) qui exécute une commande PowerShell cachée pour récupérer et lancer un second exécutable (“runtime.exe”). Cet exécutable injecte ensuite le payload principal d’Evelyn Stealer dans un processus Windows légitime (“grpconv.exe”) afin de collecter diverses données.

Les informations dérobées comprennent :

Contenu du presse-papiers
Applications installées
Portefeuilles de cryptomonnaies
Processus en cours d’exécution
Captures d’écran du bureau
Identifiants Wi-Fi stockés
Informations système
Identifiants et cookies stockés dans Google Chrome et Microsoft Edge

Le malware intègre des mécanismes de détection d’environnements virtuels et d’analyse, et termine les processus de navigateur actifs pour garantir une exfiltration transparente des données. Il utilise des options de ligne de commande spécifiques pour lancer les navigateurs en mode “headless” et sans certaines protections de sécurité afin de faciliter la collecte d’informations.

Cette campagne illustre l’intérêt croissant pour les communautés de développeurs, considérées comme des cibles de grande valeur. Il est à noter que des familles de malwares similaires, MonetaStealer et SolyxImmortal, basées sur Python, ont également été observées, ciblant notamment macOS et utilisant des webhooks Discord pour l’exfiltration.

Recommandations :

Prudence avec les extensions : Installer uniquement des extensions provenant de sources fiables et officielles, et examiner attentivement leurs autorisations et leur réputation.
Surveillance des processus : Être vigilant face aux processus inattendus ou suspects s’exécutant sur les postes de développement.
Sécurité des systèmes : Mettre en œuvre des mesures de sécurité robustes sur tous les systèmes d’information, en particulier ceux liés aux environnements de développement et aux ressources critiques.
Mises à jour : Maintenir VS Code et ses extensions à jour pour bénéficier des correctifs de sécurité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Evelyn Stealer Malware Abuses VS Code Extensions to Steal Developer Credentials and Crypto

Campagne de Vol d’Identifiants par le Malware Evelyn Stealer

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)